昨年2月以降、中国のWooYunというポータルサイトで、SQLインジェクションの脆弱性が存在する日本のウェブサイトが約400件登録されていることが判明しました。これらの脆弱性は悪用された場合、ウェブサイトの改ざん・破壊、情報窃取などの被害を及ぼす可能性がありました。
この件数は、2004年の「情報セキュリティ早期警戒パートナーシップ脆弱性届出制度(以降、本制度)」発足から2016年までに届出されたSQLインジェクションの脆弱性、1,055件の38%に相当します。
また、脆弱性の存在が判明した約400件のウェブサイトは日本において、不正アクセス禁止法に抵触する方法により検出された可能性があると指摘されています。
ウェブサイトにおいて例えば入力フォームを用意し、情報の収集の仕組みを設けている場合などは、仮にウェブサイトで個人情報を収集・管理していなくても、ウェブサイトの改ざんなどの攻撃を受ける可能性があります。
そのため、SQLインジェクションはもちろんのこと、その他の脆弱性の有無についても再点検する必要があります。
詳細は下記のページをご参照下さい。
IPA
https://www.ipa.go.jp/security/announce/website_vuln.html
